A tanúsítványszolgáltatás nem tudott feldolgozni egy kérést.
A hitelesítésszolgáltatók egyik fő feladata az ügyfelektől érkező tanúsítványkérelmek értékelése, és ha azok megfelelnek az előre meghatározott feltételeknek, a tanúsítványok kiállítása az ügyfeleknek. A tanúsítványigénylés sikerességéhez számos elemnek jelen kell lennie a kérés elküldése előtt, beleértve az érvényes hitelesítésszolgáltatói tanúsítvánnyal rendelkező hitelesítésszolgáltatót; a megfelelően konfigurált tanúsítványsablonokat, ügyfélfiókokat és tanúsítványkérelmeket; és módot a kérés az ügyfél által a hitelesítésszolgáltatónak történő elküldésére, érvényesítésére és a kiállított tanúsítvány telepítésére.
A tanúsítványkérelmek feldolgozását megakadályozó problémák kijavítása
Számos probléma akadályozhatja meg a tanúsítványkérelmek feldolgozását. Ha az eseménynapló-üzenet nem tartalmazza a probléma kijavításához szükséges összes információt, az eseménynapló-üzenetet megelőző vagy követő további hibák és figyelmeztetések segíthetnek az okok azonosításában.
A tanúsítványkérelmek feldolgozását megakadályozó problémák azonosításához és megoldásához tegye a következőket:
Erősítse meg a hitelesítésszolgáltató tanúsítványláncát.
Hozza létre és tegye közzé a visszavont tanúsítványok új listáit.
Ellenőrizze a CRL listák konfigurált terjesztési pontjait.
Ha ezek a lépések nem oldják meg a problémát, ellenőrizze a hitelesítésszolgáltató sikertelen kéréseinek várólistáját a kérés meghiúsulásának okaiért.
A következő műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A hitelesítésszolgáltató tanúsítványláncának ellenőrzése
A hitelesítésszolgáltató tanúsítványláncának ellenőrzése:
Kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Jelölje ki a hitelesítésszolgáltatót üzemeltető számítógépet, kattintson a Befejezés gombra, majd kattintson az OK gombra.
Válassza ki a tanúsítványláncban található hitelesítésszolgáltatói tanúsítványokat, majd kattintson a Tanúsítvány megtekintése gombra.
A Tanúsítványexportáló varázsló indításához kattintson a Részletek lapra, majd a Másolás fájlba gombra. Mentse a tanúsítványokat .cer kiterjesztéssel.
Nyisson meg egy parancssori ablakot, és minden hitelesítésszolgáltatói tanúsítvány esetében futtassa a következő parancsot: certutil -urlfetch -verify <CA-tanúsítvány.cer>. A <CA-tanúsítvány.cer> helyőrző a 7. lépésben mentett hitelesítésszolgáltatói tanúsítvány nevét jelöli.
Használja ugyanazt a parancsot a végfelhasználói (felhasználó vagy számítógép) tanúsítvány tanúsítványfájllal, amelyet a hitelesítésszolgáltató adott ki, hogy megerősítse a visszavont tanúsítványok listáját magának a hitelesítésszolgáltatónak és láncának.
Hárítson el minden hibát, amelyet a parancssor kimenete jelez.
Új CRL-ek létrehozása és közzététele
Ha a parancssori kimenet azt jelzi, hogy egy hitelesítésszolgáltató visszavont tanúsítványainak listája lejárt, hozzon létre új kiindulási és különbözeti CRL-eket ezen a hitelesítésszolgáltatón, és másolja őket a szükséges helyekre. Előfordulhat, hogy ehhez újra kell indítania egy offline állapotú hitelesítésszolgáltatót.
A hitelesítésszolgáltatón ellenőrizze a visszavont tanúsítványok aktuálisan közzétett listáját. Alapértelmezés szerint a hitelesítésszolgáltató a visszavont tanúsítványok listáját a %windir%\System32\CertSrv\CertEnroll mappában hozza létre. Ha a jelenleg az ezen a helyen található visszavont tanúsítványok listái lejártak vagy érvénytelenek, a következő eljárással teheti közzé a visszavont tanúsítványok új listáját.
Új CRL lista közzététele a Hitelesítésszolgáltató beépülő modullal:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Válassza ki a hitelesítésszolgáltatót, és bontsa ki a mappákat a neve alatt.
Kattintson a jobb gombbal a Visszavont tanúsítványok mappára.
Kattintson a Minden feladat menüpontra, majd a Közzététel gombra.
A visszavont tanúsítványok listáját egy parancssorból is létrehozhatja és közzéteheti.
Visszavont tanúsítványok listájának közzététele a Certutil parancssori eszközzel:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt.
Ha egy CRL listát nem elérhetőként azonosít a rendszer, azonban található egy érvényes CRL lista a hitelesítésszolgáltató helyi könyvtárában, ellenőrizze, hogy a hitelesítésszolgáltató tud-e csatlakozni a CRL lista terjesztési pontjához, majd az előbbiekben ismertetett lépésekkel ismét hozza létre és tegye közzé a visszavont tanúsítványok listáját.
A visszavont tanúsítványok listája az Active Directory tartományi szolgáltatásokban manuálisan is közzétehető a következő paranccsal:
certutil -dspublish"<crlnév.crl>" ldap:///CN=<CA-név>,CN=<CA-gazdagép neve>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
A <crlname.crl> a CRL-fájl nevét, a <CA-név> a hitelesítésszolgáltató nevét, a <CA-gazdagép neve> a hitelesítésszolgáltatót futtató gazdagép nevét, a <contoso> és a <com> helyőrző pedig az Ön Active Directory-tartományának névterét jelöli.
A CRL-ek konfigurált terjesztési pontjainak ellenőrzése
Ellenőrizze a CRL-ek összes konfigurált terjesztési pontját annak meghatározásához, hogy a közzététel sikeres volt-e, és hogy az új CRL-ek elérhetők-e a hálózaton.
A CRL listák konfigurált terjesztési pontjainak ellenőrzése a Hitelesítésszolgáltató beépülő modul segítségével:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, majd kattintson a Tulajdonságok lehetőségre.
Kattintson a Bővítmények fülre.
Tekintse át a CRL listák konfigurált terjesztési pontjait, és győződjön meg arról, hogy az információk helyesek.
A CRL-ek konfigurált terjesztési pontjaihoz tartozó URL-címek ellenőrzése a Certutil segédprogram segítségével:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a következő parancsot: certutil -getreg ca\crlpublicationurls, és nyomja le az ENTER billentyűt.
A sikertelen kérelmek várólistájának ellenőrzése a hitelesítésszolgáltatón
A sikertelen kérések várólistájának ellenőrzése a hitelesítésszolgáltatón a Hitelesítésszolgáltató beépülő modul segítségével:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Kattintson a Sikertelen kérések mappára.
Olyan sikertelen kéréseket keressen, amelyek az esemény idején vagy közvetlenül előtte, illetve utána lettek elküldve, és ellenőrizze az oszlopokat, például a Kérelem elutasítási üzenete, Kérelem állapotkódja és a Kérelmező neve oszlopot további diagnosztikai információkért.
Sikertelen kérések ellenőrzése a Certutil segítségével:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -view LogFail parancsot, és nyomja le az ENTER billentyűt.
Írja be a certutil -view -restrict requestID="<nnn>" parancsot, majd nyomja le az ENTER billentyűt. Az <nnn> helyőrző a LogFail parancs kimenetében szereplő meghiúsult kérelmek egyikének kérelemazonosítóját jelöli.
A tanúsítványkérelem-feldolgozás megfelelő működésének ellenőrzése:
Kattintson a Start gombra, írja be a certmgr.msc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
A konzolfán kattintson duplán a Személyes elemre, majd kattintson a Tanúsítványok elemre.
A Tanúsítvány igénylése varázsló elindításához a Művelet menüben mutasson a Minden feladat menüpontra, majd kattintson az Új tanúsítvány kérése lehetőségre.
A varázsló segítségével hozzon létre és küldjön el egy tanúsítványkérést bármilyen típusú elérhető tanúsítványra vonatkozóan.
A Tanúsítványtelepítési eredmények részben ellenőrizze, hogy az igénylés sikeresen befejeződik-e és nincs-e jelentett hiba. A tanúsítvánnyal kapcsolatos további információkat a Részletek gombra kattintva is megtekintheti.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 21 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.21" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">21</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID42b3cc830b884161b292de001ad930e4"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>